Zscaler Internet Access(ZIA)でのSAML認証設定
こんにちは。ネットワークソリューション特集 編集部です。
今回はZscaler Internet Access(ZIA)でのSAML認証設定についてご紹介します。
Zscaler Internet Access(ZIA)のSAML設定
1.「管理」-「IDプロバイダー」から新規IdPを追加します。
全般情報のパラメータはXMLインポートに対応していないため、idP側のXMLファイルをパラメータと証明書に分割しての対応が必要です。
2.「サービスプロバイダー(SP)のオプションで」で証明書のハッシュをSHA-2にしてXMLをダウンロード(必要であれば証明書も)してIdPにインポートします。
3.今回はSAML自動プロビジョニングを有効にします。
完了後に保存します。
4.認証プロファイルの「認証タイプ」をSAMLにして保存します。
以上で完了となります。
注意点
IdPのドメインをバイパス設定に追加しない場合は無限ループになり認証が失敗します。
SAML以外のユーザ認証
SAML以外の認証方法は下記に対応しています。
- ローカルDB
- Oneタイムパスワード/Link
- AD/LDAP
ユーザプロビジョニング(ユーザ情報の更新タイミング)
認証とは別にZIA側にユーザ作成(プロビジョニング)をする必要があります。
SAML自動プロビジョニング
先程設定した、SAML自動プロビジョニングはSAML認証実施時に属性情報が更新される方式です。
- ZIA側にユーザ情報が無ければSAMLからの情報でユーザ作成する
- ZIA側と属性情報の差異があればSAMLからの情報で上書きする
- SAMLでユーザがいなければZIA側のユーザを削除する
Zscaler Client Connectorを利用やブラウザでも認証期限パラメータが長いとユーザ属性が更新されずにポリシーが反映されません。
認証プロトコルとは別にユーザプロビジョニング方法についても検討が必要です。
SAML認証を利用する場合は、idP側はSCIMに対応していることが多いためSCIM利用すると良いかと思います。
その他のプロビジョニング方法
SAML以外のユーザプロビジョニングとしては下記に対応しています。
- 手動
- CSV
- AD/LDAP
- Authentication Bridge(AD Connector的な仮想サーバ)
- SCIM
ADディレクトリサービスを基にした、AzureADと連携する事例が多いです。
まとめ
今回はZscaler Internet Access(ZIA)でのSAML認証についてご紹介しました。
- SAML認証とは別にユーザプロビジョニング方法を検討する必要がある
- ZIAはSAMLのXMLインポートに対応していない
- ZIAは主要な認証プロトコル、ユーザプロビジョニングに対応している
